Gobernanza
- Versión
- 2.0
- Fecha de vigencia
- Última revisión
- Próxima revisión
- Responsable
- Joel R. Klemmer
Sección 1. Alcance y postura de la plataforma
Este es un sitio de autoridad informativa. No procesa pagos. No aloja cuentas de usuario. No mantiene bases de datos persistentes de usuarios más allá de necesidades operativas limitadas. La superficie de riesgo está intencionalmente restringida por diseño.
Los compromisos de seguridad se aplican a este sitio y su canal de hospedaje. No reclamamos asegurar datos procesados íntegramente por servicios de terceros más allá de nuestras expectativas contractuales. Los datos transmitidos a servicios de terceros están sujetos a sus controles de seguridad independientes.
Sección 2. Desarrollo y despliegue seguros
Las consideraciones de seguridad se integran en el diseño de desarrollo, la revisión de código y los flujos de trabajo de despliegue.
Todos los cambios fluyen a través del control de versiones. La integración continua aplica comprobaciones de formato, auditorías de dependencias, linting y compuertas de validación antes de la compilación.
Cuando corresponda, los entornos de producción y desarrollo están lógicamente separados. El acceso a los sistemas de despliegue está restringido mediante controles de acceso basados en roles acordes con las necesidades operativas.
Los eventos relevantes para la seguridad pueden registrarse y revisarse de forma coherente con los requisitos operativos.
Sección 3. Controles de infraestructura
Entorno de alojamiento
El sitio se aloja en infraestructura que proporciona terminación TLS y transporte cifrado. La resiliencia de la infraestructura y los procedimientos de respaldo son gestionados por el proveedor de alojamiento.
Seguridad del transporte
Todo el tráfico se cifra mediante HTTPS. No se utiliza contenido mixto. HSTS está habilitado en producción con preload. La terminación TLS ocurre en el edge.
Cabeceras HTTP de seguridad
El sitio envía cabeceras de seguridad que incluyen Content Security Policy, X-Content-Type-Options nosniff, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin y Permissions-Policy que restringe cámara, micrófono, geolocalización y funciones relacionadas. La incrustación de objetos y marcos está deshabilitada.
Sección 4. Controles de aplicación
Manejo de entrada
La entrada del formulario de contacto se valida. Solo se recopilan datos necesarios. El rate limiting se aplica según la configuración de despliegue.
Gestión de dependencias
Las dependencias de paquetes se gestionan mediante el sistema de dependencias del proyecto. La integración continua escanea en busca de vulnerabilidades críticas. Los problemas identificados se evalúan y abordan según la gravedad y viabilidad.
Integridad del contenido
El sitio es principalmente estático. La ejecución dinámica se limita a la funcionalidad esencial. Las fuentes de script y estilo están restringidas mediante Content Security Policy.
Sección 5. Protección de datos
La recopilación de datos es mínima. Las consultas de contacto se procesan únicamente para comunicación. Sin reventa, sin perfilado, sin almacenamiento persistente de cuentas de usuario.
Para información adicional sobre prácticas de datos, consulte la página de Privacidad.
Sección 7. Gestión de vulnerabilidades
Las dependencias se monitorean mediante herramientas estándar de gestión de paquetes. Las actualizaciones de infraestructura las gestiona el proveedor de alojamiento.
No podemos garantizar cobertura de zero-day. Los problemas de seguridad se evalúan y abordan cuando se identifican.
En caso de un incidente de seguridad que involucre datos personales bajo nuestro control, actuaremos de forma coherente con las obligaciones legales aplicables.
Sección 8. Divulgación responsable
Las preocupaciones de seguridad pueden reportarse a través de la Página de contacto. Los reportes deben incluir una descripción clara del problema, pasos para reproducir y la URL o componente afectado.
No incluya código de explotación activo en el reporte inicial.
Nos esforzamos por acusar recibo de los reportes en un plazo razonable. No se ofrece garantía de tiempo de respuesta.
Sección 9. Puerto seguro
No emprenderemos acciones legales contra investigadores que reporten vulnerabilidades de buena fe, permanezcan dentro del alcance descrito en esta política, eviten acceder o modificar datos más allá de lo necesario para demostrar el problema y eviten daño a la privacidad o interrupción del servicio.
Este puerto seguro aplica únicamente a actividades realizadas dentro del alcance descrito en esta política y no autoriza acciones que violen la ley aplicable o los términos de los servicios de terceros.
No se permite el testing de denegación de servicio, la ingeniería social del personal ni el testing de servicios de terceros.
Sección 10. Limitaciones
Ningún sistema es inmune al riesgo. Esta página de Seguridad no constituye una garantía ni un compromiso contractual de seguridad.
Las declaraciones en este documento reflejan las prácticas actuales y pueden cambiar sin previo aviso.
Los usuarios son responsables de mantener prácticas de seguridad razonables en sus propios dispositivos y redes.
Sección 11. Gobernanza y revisión
La postura de seguridad se revisa periódicamente. Los cambios materiales se reflejarán en la sección de gobernanza.
Última actualización: 2026-02-22